L’IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI E DEI CONTROLLI

4.3 APPLICAZIONE DEL MODELLO DI CONTROLLO INTERNO

4.3.2 L’IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI E DEI CONTROLLI

La mappatura del processo è propedeutica alla fase di identificazione e di valutazione dei rischi critici su cui porre particolare attenzione al fine di una corretta efficacia del sistema di controllo interno.

All’interno di questa fase, come definito dallo Standard 2010, l’internal auditor si occupa di identificare e di valutare i rischi associabili al processo considerato e di tracciare un profilo per ogni rischio individuato. Successivamente l’internal auditor potrà creare un portafoglio dei rischi individuati che verrà presentato al management aziendale.

Per rilevare i rischi potenziali relativi al processo di mobilità, si è ritenuto opportuno avviare un confronto con il management aziendale con lo scopo di identificare quali fossero, per il management, le aree aziendali considerate di maggior importanza e per concentrare, così, la ricerca dei rischi principalmente in tali aree.

Da tale confronto è emerso che l’azienda sente la necessità di concentrare l’attenzione su tutti quei rischi che possono compromettere:

- l’attendibilità dei documenti finanziari (in particolar modo il documento del bilancio d’esercizio);

- la conformità alla normativa di riferimento; - la salvaguardia dei beni aziendali;

- l’efficacia e l’efficienza del processo.

Sulla base di queste esigenze e per offrire al management ulteriori informazioni su quanto rilevato, ogni rischio individuato è stato catalogato in relazione all’ambito che esso avrebbe potuto danneggiare attraverso la sua manifestazione. Sono stati così identificati:

- C --> “Completeness” dei dati o delle informazioni inerenti al processo; rappresenta l’obiettivo di assicurare che tutte le transazioni siano state registrate, rilevate ed accettate dal sistema una ed una sola volta;

- A --> “Accuracy” dei dati o delle informazioni del processo; rappresenta la corretta e tempestiva valutazione ed allocazione di tutte le transazioni;

- V --> “Validity” o autorizzazione per lo svolgimento di una determinata funzione o azione; si intende assicurare che tutte le transazioni registrate si siano effettivamente verificate (sono reali) e siano state approvate da personale autorizzato;

- R --> “Restricted access”; rappresenta la definizione di accessi ristretti secondo quanto previsto dai ruoli, dai compiti e dalle responsabilità interne e la protezione e riservatezza delle informazioni aziendali.

Ai fini di questa tesi, si è deciso di focalizzare l’attenzione solo sulla seconda fase del processo di mobilità sanitaria attiva intraregionale esaminato: il controllo dei flussi

sanitari acquisiti, l’elaborazione ed invio degli addebiti alle Ulss ed alla regione. La

motivazione di fondo di questa scelta sta nel fatto che tale fase costituisce il fulcro di tutto il processo di mobilità attiva intraregionale in quanto rappresenta il momento in cui l’Azienda controlla i flussi acquisiti dai diversi fornitori e prepara i dati da addebitare alle altre aziende della regione. La presenza di errori (di accuratezza, di completezza, di conformità ai regolamenti..ecc), in questa fase, potrebbe generare gravi problematiche per l’Azienda individuabili, ad esempio, in un mancato o non completo rimborso delle effettive prestazioni sanitarie svolte a soggetti non residenti nel proprio territorio di competenza; nell’invio di dati errati che potrebbero essere contestati dalle altre aziende; in problematiche ed errori che potrebbero ripercuotersi in tutto il processo di mobilità sanitaria.

I rischi rilevati come potenziali, nella fase considerata, sono stati i seguenti:

- R1: “mancato o non corretto controllo dei dati dei flussi di attività, provenienti dai diversi fornitori, acquisiti nell’applicativo aziendale”. È un rischio che rientra nell’ambito dell’accuratezza dei dati e riguarda tutti i flussi di dati di mobilità (A, B, C, D, F, G, M, N, S). Nel caso in cui si verifichi tale evento sfavorevole, la successiva preparazione del file di addebiti potrebbe risultare non corretta in quanto potrebbero essere presenti dati errati; il file, dunque, potrebbe essere oggetto di contestazioni da parte delle altre aziende;

- R2: “mancata o errata elaborazione del file di addebito”. In questo caso l’azienda incombe nel rischio di non preparare o di preparare in modo non corretto il file degli addebiti e, quindi, di poter non ottenere il rimborso delle prestazioni sanitarie, rientranti in mobilità, effettivamente realizzate. Questo evento può essere collegato, ad esempio, alla presenza di dati di origine errati o incompleti; ad alcune inadempienze dell’operatore del servizio aziendale preposto; oppure, ad alcuni errori del sistema informatico aziendale;

- R3: “trasmissione non accurata o non autorizzata degli addebiti”. In questo caso, assodata la preparazione del file degli addebiti, si verificano delle problematiche nel momento in cui tale file deve essere trasmesso. Nello specifico, possono essere riscontrati problemi nell’accuratezza della trasmissione del file da parte dell’operatore aziendale o nella sua autorizzazione da parte, invece, del responsabile del servizio aziendale preposto;

- R4: “mancata trasmissione del file degli addebiti”. In questo caso l’azienda non adempie all’attività di trasmissione del file degli addebiti alle altre aziende ed alla regione ponendosi così nella condizione di poter registrare un danno inerente alla possibilità di non ottenere i rimborsi spettanti;

- R5: “trasmissione del file degli addebiti fuori i termini previsti”. In questo caso l’Azienda può rilevare alcune problematiche relative al rispetto dei termini di trasmissione previsti dalla normativa di riferimento. Una trasmissione dei file oltre i termini previsti, comporta all’azienda la non conformità alla normativa22.

Per facilitare la comprensione di quanto individuato, è stata costruita la mappa dei rischi e dei controlli, di cui si riporta una estratto (Tabella 4). All’interno di questa mappa sono state inserite le prime informazioni rilevate inerenti alla fase oggetto d’interesse: i rischi potenziali individuati e l’ambito di riferimento di tali rischi (CAVR).

22_{La documentazione normativa ed aziendale di riferimento per il processo di mobilità sanitaria è la seguente:}

- d.lgs 502/92 art. 8 e successive integrazioni e modificazioni; - l.r. 55/94 art. 5 comma 1 lett. a;

- l.r. 56/94 art. 25 coma 1 lett. c;

- nota regione veneto 3319/99 (modalità di gestione del flusso informativo della mobilità sanitaria); - nota regione veneto 438604/2008 (modifica date trasmissione dati);

- nota regione veneto 360987/2010 (revisione dei tracciati per i flussi intraregionali);

- decreto regionale 48/2010 (aggiornamento del flusso informativo della Scheda di Dimissione Ospedaliera); - DGR 859/2011 (nuovo tariffario prestazioni ambulatoriali);

- decreto regionale 40/2012 (attività erogabili in regime di ricovero diurno); - DGR 1805/2011 e 437/2012 (aggiornamento tariffario assistenza ospedaliera).

Tabella 4 - La mappa dei rischi e dei controlli – i rischi potenziali

Successivamente, sono state riesaminate le informazioni emerse durante la mappatura del processo (relative alla fase in esame) e sono stati estrapolati i controlli posti in essere dall’Azienda. È stata, quindi, avviata l’identificazione e valutazione dei controlli; nello specifico, si è verificato se i controlli individuati in sede di mappatura potevano essere abbinati ai rischi rilevati. È stata così rivista ed aggiornata la mappa dei rischi e dei controlli (Tabella 5).

Tabella 5 - La mappa dei rischi e dei controlli – i rischi potenziali ed i controlli

A questo punto, sulla base delle informazioni raccolte, si è passati alla valutazione dei rischi.

Per poter svolgere la valutazione, l’Azienda, ha deciso di utilizzare opportune scale di valutazione (Tabella 6 e Tabella 7) considerando: la probabilità di manifestazione del rischio e l’impatto che la sua manifestazione può generare in azienda.

Tabella 6 - Scale di valutazione - Probabilità

PROBABILITA’

PUNTEGGIO DESCRIZIONE NOTE DI VALUTAZIONE

1 Inverificabile È impossibile che accada

2 Improbabile L’evento probabilmente non accadrà mai

3 Remoto L’evento dannoso riconducibile è accaduto

o/è probabile che accada entro 3 anni

4 Possibile L’evento dannoso riconducibile è accaduto

o/è probabile che accada entro 1 anno

5 Continuo L’evento dannoso può accadere entro 1

mese con elevata probabilità

N° DESCRIZIONE CODICE DESCRIZIONE C A V R CODICE DESCRIZIONE FREQUENZA

Controllo dei flussi sanitari acquisiti, elaborazione ed invio degli addebiti alle Ulss ed alla Regione

R1.a

mancato o non corretto controllo dei dati dei flussi di attività provenienti dai diversi fornitori. Flussi A, B, C, D, F, G

X C 2.1

L’operatore del controllo di gestione effettua i controlli sui flussi A, B, C, D, F e G, (flussi per i quali esiste una codifica di errori) al fine di individuare eventuali errori presenti nei dati (nota regionale 360978/2010). Il controllo viene svolto informaticamente dal sistema aziendale tramite apposita funzionalità. In caso di errori, l’operatore provvede ad indagare ed a risolvere le anomalie.

Trimestrale

R1.b

mancato o non corretto controllo dei dati dei flussi di attività provenienti dai diversi fornitori. Flussi M, N, S

X C 2.2

L’operatore verifica manualmente i dati relativi ai flussi M, N e S (per i quali non esiste una codifica di errori che permetta il controllo informatico dei dati) al fine di individuare eventuali errori presenti nei dati (ai sensi della nota regionale 360978/2010).

Trimestrale

mancata o errata elaborazione dei file di addebito

X C 2.3

L’operatore e il responsabile del controllo di gestione verificano che tutti i file di addebito siano stati elaborati dal sistema aziendale. Il modello H1 e I sono siglati ad evidenza del controllo.

Trimestrale

trasmissione non accurata o non autorizzata dei file di addebito

X X C 2.4

Il modello H1 e il modello I degli addebiti vengono stampati, controllati e successivamente firmati dal responsabile del servizio controllo di gestione, prima di essere spediti, tramite lettera di trasmissione, rispettivamente alla Regione Veneto ed alle altre Ulss. Gli stessi modelli vengono depositati informaticamente sul portale regionale.

Trimestrale

R4 mancata trasmissione dei

file di addebito X C 2.5

L'operatore ed il responsabile del controllo di gestione verificano che tutti i file di addebito siano stati trasmessi, entro i termini previsti da normativa, alle Ulss ed alla Regione Veneto. L'evidenza della completa e tempestiva trasmissione è visibile nel portale regionale utilizzato per la trasmissione.

Trimestrale

R5 trasmissione degli addebiti

fuori i termini previsti X C 2.6

Trimestrale

100

Tabella 7 - Scale di valutazione - Impatto

IMPATTO

PUNTEGGIO DESCRIZIONE NOTE DI VALUTAZIONE

1 Impatto non significativo

Nessun effetto significativo sull’immagine aziendale, mancate entrate e/o

maggiorazione dei costi

2 Impatto minimo

Impatto sull’immagine aziendale, mancate entrate e/o maggiorazione dei costi per un valore < 50.000 Euro

3 Impatto di minore rilevanza

Impatto sull’immagine aziendale, mancate entrate e/o maggiorazione dei costi per un valore < 500.000 Euro

4 Impatto rilevante

Impatto sull’immagine aziendale, mancate entrate e/o maggiorazione dei costi per un valore < 1.000.000 Euro

5 Impatto particolarmente rilevante

Impatto sull’immagine aziendale, mancate entrate e/o maggiorazione dei costi per un valore > 1.000.000 Euro

Ad entrambe le variabili, è stata attribuita una quantificazione compresa tra 1 e 5, delimitando così la dimensione del rischio tra i valori di 1, in caso di impatto e di probabilità minimi, ed il valore di 25 in caso di massimo impatto e probabilità di manifestazione (Figura 18).

Figura 18 - Matrice probabilità - impatto

Per ogni rischio individuato è stata, quindi, associata una quantificazione di probabilità e di impatto; nello specifico, per assegnare un’opportuna quantificazione relativa alla variabile probabilità, sono state svolte alcune interviste dirette agli operatori del

101

servizio controllo di gestione; per la variabile impatto, invece, è stato considerato, per ogni flusso, il valore economico riportato nel bilancio d’esercizio 201123.

Attraverso la combinazione tra l’impatto generato e la probabilità di manifestazione, è stato possibile calcolare, per ogni rischio potenziale individuato, il relativo indice (IR) ed è stata aggiornata la mappa dei rischi e dei controlli (Tabella 8).

Tabella 8 - Mappa dei rischi e dei controlli - la scala del rischio

Sulla base del punteggio ottenuto dalla combinazione tra impatto e probabilità, è stata popolata la matrice dei rischi sotto riportata (Figura 19).

23_{Si veda la Tabella 2 riportata nel paragrafo introduttivo 4.1.}

N° DESCRIZIONE CODICE DESCRIZIONE C A V R CODICE DESCRIZIONE p i IR (p x i)

Controllo dei flussi sanitari acquisiti, elaborazione ed invio degli addebiti alle Ulss ed alla Regione

R1.a

mancato o non corretto controllo dei dati dei flussi di attività provenienti dai diversi fornitori. Flussi A, B, C, D, F, G

X C 2.1

4 5 20

R1.b

mancato o non corretto controllo dei dati dei flussi di attività provenienti dai diversi fornitori. Flussi M, N, S

X C 2.2

4 4 16

mancata o errata elaborazione dei file di addebito

X C 2.3

3 5 15

trasmissione non accurata o non autorizzata dei file di addebito

X X C 2.4

3 5 15

R4 mancata trasmissione dei

file di addebito X C 2.5

2 5 10

R5 trasmissione degli addebiti

fuori i termini previsti X C 2.6

2 5 10

102

Figura 19 - La matrice dei rischi

La costruzione della matrice dei rischi (Figura 19) permette al management ed all’internal auditor di avere una visione diretta e semplice della tipologia di rischi individuati e di definire la aree sulle quali concentrare la propria attenzione.

Nel caso specifico, la matrice è stata suddivisa in tre aree: area di color verde, area di color giallo ed area di color rosso. Attraverso la rappresentazione in matrice del punteggio assegnato ai rischi individuati, è emerso che:

- i rischi R4 ed R5, presentando una quantificazione media di probabilità e di impatto, sono rientrati nell’area di color giallo;

- i rischi R1.a, R1.b, R2 ed R3, presentando, invece, un’elevata quantificazione di impatto e di probabilità sono rientrati all’interno dell’area di color rosso.

Successivamente, attraverso un incontro con il management aziendale, sono state esposte le risultanze emerse da queste prime attività ed è stato deciso di concentrare l’attenzione solo sui rischi “alti” collocati all’interno dell’area rossa (R1.a, R1.b, R2 ed R3). In relazione a tali rischi, sono state individuate le possibili criticità emergenti e

103

sono state formulate le linee di intervento da intraprendere (oggetto del paragrafo successivo).

4.3.3 IDENTIFICAZIONE DELLE CRITICITA’ E FORMULAZIONE DELLE AZIONI DI RISOLUZIONE

Conclusa l’identificazione e la valutazione dei rischi e dei controlli, si svolge ora l’individuazione delle criticità del processo e la definizione delle possibili azioni di risoluzione da implementare con l’obiettivo di risolvere, di attenuare o di migliorare le criticità.

Come già definito nel terzo capitolo, per poter svolgere correttamente tale fase, l’internal auditor, tra i vari aspetti, deve considerare la soglia aziendale di accettabilità dei rischi, le priorità sostenute dal management e le esigenze aziendali. Solo dalla considerazione di tutti questi aspetti, l’internal auditor può offrire un’equilibrata definizione dei piani di risoluzione adottabili.

Nel caso specifico, è stato rilevato che la fase di controllo dei flussi acquisiti, di elaborazione ed invio degli addebiti, risulta correttamente coperta dai controlli posti in essere dagli operatori del servizio addetto. Come è stato identificato anche attraverso la preparazione della mappa dei rischi e dei controlli, a tutti i rischi emersi in tale fase, è stato possibile associare un controllo aziendale idoneo e sufficiente alla loro copertura.

Ciò che è emerso in questa fase è da considerare come una criticità procedurale legata alla modalità di implementazione di alcune attività del processo che vengono svolte manualmente dagli operatori del servizio. Relativamente a tali attività, è stato richiesto al fornitore del software di implementare opportuni automatismi di sistema con lo scopo di diminuire il margine di errori dovuti all’effettuazione di passaggi manuali.

La criticità formulata riguardava l’assenza di una procedura automatizzata del sistema (dunque un log di sistema) che riepilogasse le principali attività svolte dall’operatore del servizio per l’elaborazione degli addebiti da inviare alle altre Ulss ed alla Regione.

104

Questa assenza comportava il rischio di non effettuare in modo accurato o completo le attività previste.

Per superare tale criticità, l’Azienda ha formulato un piano di contenimento che prevedeva l’implementazione di un registro informatizzato, di facile consulto da parte dell’operatore del servizio controllo di gestione, che riportasse lo stato di realizzazione delle principali attività svolte a sistema per l’elaborazione degli addebiti:

 importazione del flusso di dati;

 controllo del flusso di dati;

 creazione del file degli addebiti;

 trasmissione del file degli addebiti.

Attraverso la stampa di tale registro, l’operatore del controllo di gestione avrebbe proceduto all’implementazione della verifica dell’effettiva e completa realizzazione delle attività previste.

Per la messa in atto del piano di contenimento, è stato definito il seguente insieme di attività:

 inoltro, da parte del servizio controllo di gestione, al fornitore dell’applicativo aziendale la richiesta di:

o fattibilità di implementazione del “registro informatizzato” necessario ai fini del controllo da implementare;

o preventivo economico per l’implementazione richiesta;

 acquisizione del preventivo economico e valutazione della congruità e della fattibilità economica, da parte del servizio controllo di gestione in concentro con il servizio per l’informatica;

 decisione di accettazione o non accettazione del preventivo economico ricevuto. In caso di accettazione, attivazione delle procedure d’acquisto previste, da parte del servizio controllo di gestione in concerto con il servizio per l’informatica;

 implementazione a sistema, da parte del fornitore, delle migliorie e collaudo, da parte del servizio controllo di gestione.

105

Tutte le fasi previste dal piano di contenimento sono state realizzate dall’Azienda nel rispetto delle tempistiche predefinite ed attraverso l’attività di test è stato possibile verificarne l’efficacia. Il paragrafo successivo riporta le modalità di effettuazione dei test sui controlli.

Nel documento Il controllo interno nelle aziende sanitarie. Il caso dell'azienda Ulss 9 Treviso. (pagine 95-105)